虽然广泛应用的Internet网络技术已经带来了效率和生产力发展的新机会,但它同时也带来了很大的风险,比如网络系统易受攻击。对控制工程师和管理人员来说,在满足普通商业需求的同时,如何隔离和保护监控和数据采集(SCADA)系统免受Internet的攻击,这是一个关键的问题。在工业中利用的控制系统包括SCADA系统、分布式控制系统(DCS)、可编程逻辑控制器(PLC),这些我们都称为SCADA系统。
伴随着自动化控制系统与基于Internet网络的IT商业系统之间的连通性越来越多,最棘手的便是SCADA系统的安全问题。特别明显的缺点是SCADA系统的最初工程设计并未预想到与Internet网络的连接,为什么呢?SCADA系统是从私人的产品发展而来的,它应用开放式的、基于Internet网络的技术,具有众所周知的操作性能和安全缺陷。为了达到因经营规模扩大而得到的经济节约,对于多种重要基础设施,现在销售商通常应用同一系列的控制系统元件产品。
威胁的存在
在许多行业中,已经发生了对SCADA系统的攻击,比如在油/气、电力、水、造纸和制造业的控制系统都遭受过影响。这些行业中,多数要求具有保密性。但是一些已经被泄露,其中包括:
(1)、在亚洲损失了1000MW的水电;
(2)、在澳洲的一个污水处理厂,因为排出阀的数据被计算机黑客随意删改,导致释放了数百万公升的污水;
(3)、计算机网络蠕虫病毒Slammer和Blaster攻击了许多电力和供水设备的控制系统,包括美国俄亥俄州的Davis-Besse核动力设备,以及其它的工业制造业的控制系统。
安全攻击是存在的,威胁也是存在的,现在是回顾SCADA安全要素的时侯了。
为了使SCADA系统安全运行,它必须和外界的消极影响相隔离。这些消极影响可能包括从一个工程师需要的大量数据到由电脑黑客的蠕虫病毒产生的大规模的电子邮件传输。
为了实现这个隔离,所有和SCADA原函数关联的机器必须依靠一个公共的网络—工厂控制网络(PCN),应用一个内部的防火墙把它和其它的网络保护起来(图1)。 (图片)
图1: 控制网络隔离(工厂网络应被隔离并用防火墙保护) 建立防火墙是为了管理防火墙内部机器和防火墙外部机器的连接。可以编写防火墙的规则允许任何网络通信,或是对指定的设备和应用限制网络通信。
需要向SCADA系统发送数据的系统类型将根据应用而变化。实验室信息系统(LIS)就是一个很好的例子,在现代的精炼厂操作中,它和精炼厂的SCADA系统周期性的交换有关产品质量和产量的数据。在假定情况下,我们把称得上网络的LIS看作工厂信息网络(PIN)。
为了和SCADA系统软件代理商发生数据转换,需要与LIS软件通信或建立一个连接。新的防火墙规则应明确识别LIS系统,因此仅仅它能应用这个规则(图2)。(图片)
图2:由工厂网络获得数据(通过网络交换数据之前,
建立安全协议) 许多公司发现在数据进入SCADA控制系统进行计算之前,允许人员外在的检查与确认是最优方法。为了完成他们的职责,几乎每个雇员都需有权使用企业电子邮件和Internet网络。进行两个网络连接时不慎将病毒或者计算机网络蠕虫引入到控制网络,便会出现很多的问题。防火墙规则必须是来自控制网络类型的访问,也将开放控制网络,使其充满由病毒和计算机网络蠕虫产生的大量的有害数据,即便控制网络上的计算机没被感染病毒。应避免类似事件的发生。
为了给操作员提供企业电子邮件和Internet网络功能但又不危及PCN网络的安全,和PIN网络分开的连接应该对所有地点工作的操作员都是适用的。仅仅连接到PIN网络的工作站能提供操作员访问电子邮件和Internet网络功能,分离PCN网络,以便其免受来自Internet的危险(图3)。(图片)
图3:操作员进入E-mail和Internet 保持畅通
对远程设备的软件上载和系统诊断,大多数销售商更喜欢应用调制解调器进行访问。在这种情况下,在要求服务之前,与调制解调器连接的电话线应该是畅通的,销售商一旦结束连接,线路也应该是畅通的。当销售商需要进行诊断时,就适当的安全策略和安全实施而言,如果公司在现场有工作人员,这可能是一个可以接受的方法。
对那些并不是现场24/7小时都有雇员的公司,这可能是一个主要争论点,可选择的折中方法包括:回拨功能的调制解调器——可以对一个指定的销售商电话号码回拨,口令保护功能的调制解调器,加密功能的调制解调器,以及安全套接层协议虚拟专用网络(SSL VPN)连接。
通常,回拨功能的调制解调器是不切实际的,因为它要求销售商始终为同一个电话号码提供服务。如果你的电话线能够一直保持畅通,密码保护的调制解调器也许是保护销售商访问的最大成本效益的方法。当设置多次注册失败之后(通常选择3次或者4次),密码保护的调制解调器应该支持帐户失活,并能处理复杂的密码。
加密调制解调器的主要目的是保持在两个调制解调器之间的数据通信是机密的。在这样的情况下,这个方法是吸引人的,因为同一个制造商必须使用调制解调器建立一个连接并共享同一个密码钥匙。这就大大减少了未授权人员连接到这个SCADA系统的机会。
深层防御策略
另外一个以策略制胜电脑黑客的方法是在你的网络DeMilitarized Zone(DMZ)隔离区设置一个SSL VPN网络应用,建立DMZ隔离区就是通过一个防火墙隔离两个网络。SSL VPN网络安全技术应用的访问规则能够限制销售商对他们负责的特定设备的访问。虽然这种方法的成本比较高,但是增加了安全系数,因为你可以通过单一的网关切断调制解调器,并对所有的销售商进行中央管理控制。对那些在控制网络上从来都不允许销售商访问的设备,除非在进行维修服务时明确的授权他们,而且在他们的操作被监控的情况下,这是一个最优方法。
在不同的网络上,SCADA数据被相关的系统需求,比如早期提到的LIS系统。工厂管理人员通常想要一个高层次的控制视窗观看发生了什么,有时调整代理商要求有权访问的数据,比如来自监控系统发出的数据。对满足这样的商业要求,这个模型工作最好,它和我们应用的从LIS系统到SCADA系统的数据传送很相似,只是这次的传送是颠倒的。
这个模型需要被SCADA系统收集和计算的数据“副本”,这个副本是在工厂和公司网络较低的安全等级建立的。能按照要求建立多个等级或者副本。就副本来说,并不意味着精确的复制,但是以SCADA数据库为基础的有相关数据的数据库:5分钟的平均或者每小时的平均,而不是一个变量的每次时间标记情况。
为了保持控制网络的安全性,数据应该增加从控制网络到下一个较低层的安全性,这个较低层常常是工厂网络。如果另外的层需要安全性,比如合作伙伴或者管理机构需要的数据,那么应该增加从工厂网络到下一个较低层的数据安全性。
从历史数据上说,应用专利代码已经实现这个模型,但幸运的是,围绕这个概念,销售商已经开发出了商业上可利用的产品,比如Wonderware和OSI PI数据库。
尽可能避免远程访问
应该避免操作员的远程访问。一旦建立了远程访问(除了销售商推荐的访问),要保证PCN免受电脑黑客、病毒、计算机网络蠕虫和其它的恶毒代码的攻击是很困难的。
如果必须应用远程访问,那么首先可供选择的数据测定方法是从操作员的远程位置到PCN网络装设一个专用线。倘若使用一个计算机专门进行控制功能也是非常合理的。如果操作员使用他们个人的家用电脑,那么在某些方面将受到感染或者危及安全的可能性也会增加,而且可能危及控制网络的安全。
如果SCADA的控制功能是激活的网络浏览器,那么在DMZ隔离区设置一个SSL VPN网络应用是一个切实可行的方法,它可以对操作员和PCN网络之间的连接进行加密。为了增加安全性的附加测试,操作员需要高速Internet网络访问,也需要对附加的网络访问采取措施,比如时常的到期、多次的不成功的登录上网之后禁止复杂的密码。这种解决方案的附加值是:除非你允许操作员上载文件到SCADA系统,你已经在操作员的远程计算机上保护SCADA系统不受恶意代码或者病毒的攻击。
如果上述两个可选择的方法都是不可行的,那么第三个方法是建立普通的众所周知的3EDS(数据加密标准)或者AES(高级加密标准)的IPSec(IP保护协议) VPN网络。IPSec是访问Internet网络进行封装通信的相对新的方法,3DES和AES是进行加密信息包公认的加密算法。那些建立的隧道几乎能保证不让电脑黑客侵入。
比如选择SSL VPN网络远程访问技术,这个方法要求在DMZ隔离区有一些昂贵的硬件。和SSL VPN网络远程访问不同,通过远程计算机,IPSec VPN网络远程访问可能使控制网络受到恶毒代码或者未授权访问的攻击,除非在操作员应用的计算机上保持严格的控制。
当操作员的实际位置不在一个安全的控制室时,对于操作员的鉴定,需要三个要素。前两个要素是用户ID和密码(操作员知道这个密码)。第三个要素是确认包括USB接口激活标记、智能卡、或者有生命特征的ID比如他的声音或拇指的指纹。
无线通讯
虽然在精炼厂或化工厂的SCADA操作员设置可能不需要配置无线通讯系统,但对于某些应用,比如生产现场位置或远程的管道泵站,无线通讯几乎是必须的。在一些情况中,比如从地理位置上分布式的传感器到SCADA系统,几乎没有其它成本效益的方法来反馈数据点。
在他们现成的产品中,配置简单容易。无线站点(WAPs—登陆PCN网络的无线站点)是一个安全的噩梦。他们能接收来自任何方向的信号,如果使用天线来加强信号强度,客户端能在很远的地方接收。任何一个有膝上型电脑或PDA,以及便宜的传送器和天线的人就能够有权访问你的控制系统。
有几种方法可以使WAPs安全可靠。最不安全的方法是有线对等保密(WEP)。说它缺少安全是因为它在无线客户端传感器间的加密通信是薄弱的,而且在数小时内就能被破坏。
在保护你的无线访问时,动态WEP能做得更好。当一个随机的字节传送之后,动态WEP能改变WEP的加密钥匙,因此使那些试图破坏WEP的企图更困难。事实上,在一个无线SCADA系统环境中应用动态WEP应该是必须的。
一个更安全的方法是应用动态WEP加密,在所有的无线传输上,它将强制所有来自WAPs的通信都通过一个IPsec 3DES加密驱动程序。但是,这可能是昂贵的,而且对于这个方案通常是不需要的。
第二步应该采取的措施是应用一个WAP,让你指定允许和它通信的机器地址(MACs)。结合动态WEP,对于这种类型的环境,对指定的MAC地址访问进行限时常常是足够安全的。
通过合并以上的措施,如果可能,对那些未获得授权而通过WAP访问你的PCN网络,使用一个行之有效的方法是困难的,但是我们没有涉及到电力的干扰,它可能妨碍传感器数据的有效性。不管是来自恶毒源码还是自然发生现象的干扰,这仍然干扰从传感器到SCADA系统的信号,危及控制的安全。为了弥补这个问题,系统说明符应该考虑配置定向的天线、微波或其它的技术来增强来自传感器信号的强度,以保证WAP仅仅接收来自传感器的信号。
安全的策略、标准、指导方针
标准是指定的操作或程序,都应该遵循确保网络安全的策略。例如,比较安全的策略标准可能是 :PCN网络的所有用户的IDs必须通过“XYZ”过程的核准。另一方面,指导方针是专用的操作或程序,都应该遵循确保安全的策略。比如,操作员可能设立这样的指导方针:对于SCADA系统,用户的IDs对操作员来说应该从操作程序(OP)开始,对控制工程师来说,应该从芯片启动(CE)开始。
对于应该开发的安全策略、标准和指导方针的取样种类应包括鉴定、访问控制、访问控制管理、网络、无线、远程访问、应用、系统、加密等。
6/13/2005
|